L’It da decenni è alla base dell’ingegnerizzazione dei processi aziendali, dal marketing al procurement, dalla ricerca all’amministrazione; ma l’avvio dell’ingegnerizzazione dei processi della stessa It è recente: parte infatti dal 2001 l’It Governance orientata al business. Per le attività di governo It è in atto il travaglio di migrare da una visione legacy, tipicamente architetturale, a una che pone al centro i processi. Perché la macchina dell’organizzazione It, di cui la figura 1 mostra un modello concettuale, deve competere sul mercato, e sul mercato globale come una vera catena iterativa del valore. Per ottimizzarla, Gartner si limita alla domanda “dov’è strategico che il Cio si focalizzi?”: ognuno trovi le risposte nel suo piano strategico e nel contesto delle scelte sulle risorse e dell’ambiente in cui opera e ne derivi in quali sottoprocessi conta eccellere e in quali basti un investimento decoroso. A rendere critica la revisione della macchina c’è però il trend della centralizzazione che caratterizza le organizzazioni It europee, come risulta dall’indagine Forrester in cui 518 aziende descrivono la loro organizzazione It come accentrata per il 71% nel 2005, contro un 64% nel 2004 [ndr l’indagine The state of It governance in Europe è scaricabile all’interno della Community It Governance]. Ancora Forrester: a giugno 2005, citava 26 proposte di vendor di It governance in Europa, sottolineando che nessuna copre al 100% l’insieme dei processi e stima che forse cinque arrivino a un 75%. E questo significa, in pratica, che un tipico grande cliente sarà portato al multisourcing. Senza garanzia di esaustività, ma al meglio delle nostre conoscenze, può essere utile la sintesi di seguito proposta dei processi di gestione dell’It che hanno valore business.
Business Service management
Tutti sono d’accordo sul fatto che scopo dell’It governance è quello di allineare le pratiche It agli obiettivi di business. Ma sul come ci sono sfumature diverse. C’è chi sottolinea l’importanza di non prendere in considerazione i soli aspetti tecnologici ma valutare le implicazioni organizzative, ed è quello che fa Mercury (www.mercury.com) con la Business Technology Optimization. Chi invece si focalizza sulle pratiche per l’It che si traducono in servizi al business è, per esempio, Bmc Software (www.bmc.com) che chiama Business Service Management (Bsm) il processo continuo con cui gli It manager gestiscono le richieste del business ai servizi It e i manager di linea business identificano gli impatti sui servizi fruiti dall’It al cambiare del business. Il Bsm fornisce servizi orizzontali alle linee di business: definisce un servizio e ne specifica il livello con le proprietà associate (Sla); lo mette a catalogo; lo gestisce per il suo arco di vita; ne cura monitoraggio e reporting, se il servizio è di tipo operativo. La best practice più gettonata per la fornitura come per il supporto dei servizi è Itil (vedi articolo a pag. 67), anche se non è l’unica: ci sono anche CoBit (www.isaca.org) ed eTom (www.etom.org) nelle telecomunicazioni. Il Bsm si articola in una serie di (sotto)processi, ognuno dei quali produce un valore visibile per il business. Li esploriamo per importanza, criticità e implicazioni, seguendo la catena della figura 1.
La catena del valore nelle organizzazioni It
(clicca sull’immagine per ingrandirla)
Fonte: Gartner, 2005
Demand e Project Portfolio management – Il Demand Management (Dm) è il “gateway” che registra tutta la domanda, strategica, progettuale, applicativa o infrastrutturale, garantendone l’assoggettamento al “sistema” di governance It. Un Dm sofisticato, il quale non deve “perdere” alcun tipo di richiesta proveniente dal business ha: cattura d’informazione, workflow, regole di business, meccanismi di notifica ed escalation. La richiesta viene quindi smistata al Project Portofolio Management (Ppm), che analizza il progetto e assegna le priorità in base al valore. Gli step fondamentali di una corretta gestione di un progetto It prevedono: l’analisi da parte di una persona del business per la verifica che il progetto risponda alle esigenze del business; la verifica del progetto in base agli standard architetturali; l’approvazione da parte di una sorta di “comitato direttivo” che comprenda sia l’It che il business. I progetti approvati verranno quindi attribuiti a un Programme Management Office (Pmo) e potranno innescare investimenti o infrastrutturali in campo software, hardware o applicativi.
Application Lifecycle Management – L’Application Lifecycle Management (Alm) è il processo sede dello storico sviluppo applicativo. La versione “reingegnerizzata” ne fa il luogo del Change management applicativo, cogestito dall’It e dal business: una richiesta di cambiamento attraversa sottofasi di sviluppo o manutenzione, test o collaudo ed esercizio, in un ciclo a spirale che può essere sia manutentivo (azioni correttive o di adeguamento all’evoluzione tecnologica), che funzionalmente evolutivo (origine da richiesta business). La spirale dei cambiamenti ha un orizzonte temporale che abbraccia l’intero ciclo di vita di ogni applicazione; offre totale visibilità al business, per il sottoinsieme di interesse; copre dalla singola linea di business all’azienda estesa, arrivando al Change & Configuration Mgmt applicativo di classe Enterprise, di cui parlano Selesta (www.selesta.it) con Serena (www.serena.com).
Asset Discovery Management e Application Portfolio Management – Il Change management di classe Enterprise è efficiente ed economico solo se il Pmo di cui sopra evita dispersioni di sforzi e sprechi finanziari garantendo costante visibilità e coordinamento “cross-portfolio” di risorse comuni. Serve un processo di It Inter Portfolio Management decomponibile in Asset Discovery Management (Adm) e Application Portfolio Management (Apm). Ad Adm e Apm occorre una base di “metadati”, ossia di informazioni astratte rispetto alle piattaforme dove girano le applicazioni, che le rappresenti in modo uniforme, facilmente analizzabile, raffrontabile e trattabile, ma al tempo stesso differenziabile secondo le esigenze di ruoli diversi. Citiamo qui Hal (www.halks.com). Si intuisce che il valore d’una vista Iipm (tramite la coppia Adm e Apm) è maggiore quanto più l’Ito centralizzata è grande e/o ricorre ad outsoursing.
Incident & Problem Management e Service Impact & Event Management – Incident & Problem Management (Ipm) è il nome formale del processo che governa un servizio di call centre centralizzato: dall’identificazione, all’attribuzione del ticket, alla prioritizzazione basata sull’impatto al business e agli Sla, alla risposta con soluzione allineata ai requirement di business. Il governo del servizio si basa su metriche di performance pattuite negli Sla, sul costo per chiamata e sull’integrazione con Service Impact & Event Management (Siem). Siem parte dalle cause di fondo degli incidenti (con l’analisi delle loro correlazioni e arriva agli impatti al business corrispondenti (con impact analysis fra processi e componenti infrastrutturali It), perseguendone l’allineamento strategico (misurazioni sui componenti ma anche dei servizi al business e relative best practice; balanced scorecard). Vedi per esempio Compuware (www.compuware.com). Cardini del supporto dei servizi al business, Ipm e Siem devono essere iterativi, orientati al continuo miglioramento e capaci di reciproca integrazione e interazione, nel rispetto dei loro cicli (breve quello di Ipm, medio quello di Siem).
Business Configuration Management – Perché sia di classe Enterprise anche il Configuration Management, serve che, ad ogni cambio di configurazione delle risorse coinvolte in un servizio al business, intervenga il Bcm, un processo di (ri)configurazione dinamica, che “scopre” la configurazione del servizio, ne censisce e registra accuratamente le risorse (la prima volta all’approvvigionamento), mappa relazioni e dipendenze del servizio da applicazioni e processi. Lo strumento di Bcm è un Configuration Management Data Base “federato”, un repository di metadati originati dai vari database specifici che si hanno in azienda (ricordiamo il multisourcing predetto da Forrester). E qui citiamo Managed Objects (www.managedobjects.com). Gestire dinamicamente i servizi al business e riconfigurarli in economia e velocità significa azzerare gli impatti da cambiamenti pianificati – o minimizzarli con una reazione rapida se non pianificati: abbatte il rischio di cambiamento, se è vero che “l’80% di un mancato servizio viene da errori umani o processuali, la cui causa è il cambiamento, pianificato o no” (Gartner).
PER UN GOVERNO SOSTENIBILE DELLA CONFORMITÀ
L’Idm è cruciale per il famoso Compliance Management (Cm) in quanto abilita un governo organico e sostenibile della conformità alle normative. Organico, perché registrare dati di identità associati a processi e decisioni è uno strumento di audit di processi e persone, che consente (a livello corporate) viste storiche, correnti e proiezioni o analisi di efficienze e carenze e può innescare azioni correttive, con notifiche automatiche ad ogni violazione di regole, potenziale o effettiva. Sostenibile perché il Cm fondato sull’Idm è totalmente astratto dai contenuti delle normative. Direttive come Basilea 2, Privacy, Sarbanes-Oxley, o policy interne diventano insiemi di regole: l’aggiunta di una nuova normativa cui conformarsi può riutilizzare la struttura dei due processi Idm e Cm, con la semplice aggiunta di nuove regole. Proprio lo sforzo di mettere in piedi un Cm astratto dai contenuti è la chiave della conformità sostenibile. (R.M.)